Οι κυβερνοεπιθέσεις μέσω κινητών συσκευών εισέρχονται σε μια πιο εξελιγμένη και επικίνδυνη φάση: ClayRat Είναι ένα spyware για Android που καμουφλάρεται ως γνωστές εφαρμογές όπως WhatsApp o TikTok να κλέψουν δεδομένα και να τα διαδώσουν μεταξύ των επαφών.
Σύμφωνα με ερευνητές από Zimperium, η επιχείρηση αναπτύσσεται με καλό ρυθμό και έχει ήδη συσσωρεύσει περισσότερα από 600 δείγματα και 50 σταγονόμετρα, διανεμημένο μέσω Κανάλια και ιστότοποι Telegram που προσποιούνται ότι είναι επίσημα, συμπεριλαμβάνεται ψεύτικο κατάστημα TikTokΛόγω της εμβέλειάς της και της κοινωνικής μηχανικής, πρόκειται για μια ιδιαίτερα ενεργή καμπάνια.
Τι είναι το ClayRat και γιατί μεταμφιέζεται σε μια δημοφιλή εφαρμογή;
Πήρε το όνομά του από την υποδομή διοίκησης και ελέγχου του, ClayRat συνδυάζει την κλοπή ταυτότητας με προηγμένο ηλεκτρονικό ψάρεμα (phishing)Οι επιτιθέμενοι δημιουργούν πύλες που μιμούνται την εμφάνιση του Google Play ή από τις σελίδες WhatsApp, TikTok, YouTube ή Google Photos, με οδηγίες για την εγκατάσταση APK με μη αυτόματο τρόπο.
Αυτές οι ιστοσελίδες εμφανίζουν κατασκευασμένες κριτικές, διογκωμένοι μετρητές λήψεων και δημιουργημένα σχόλια για να εμπνεύσει εμπιστοσύνη. Το αγκίστρι ενισχύεται με υποτιθέμενες εκδοχές του "πρόσθεση"ή "premium" εκδόσεις δημοφιλών εφαρμογών, ενώ στην πραγματικότητα ο χρήστης εξουσιοδοτεί την εγκατάσταση λογισμικού κατασκοπείας.
Αλυσίδα μόλυνσης: εγκατάσταση "ανά συνεδρία" και droppers
Ένα από τα δυνατά του σημεία είναι η μέθοδος εγκατάστασής του. βάσει συνεδρίας ότι μειώνει τις ορατές ειδοποιήσεις και βοήθεια παράκαμψη περιορισμών που εισήχθησαν στο Android 13 και νεότερες εκδόσεις, μιμούμενοι τη ροή των νόμιμων εφαρμογών. Αυτές οι τεχνικές έρχονται σε αντίθεση με τις βελτιώσεις ασφαλείας που προσφέρουν εκδόσεις όπως η Android 13 και νεότερη έκδοση.
Πολλές παραλλαγές λειτουργούν ως σταγόνες: δείξτε ένα ψεύτικη οθόνη ενημέρωσης Play Store κατά τη λήψη και την εκτέλεση στο παρασκήνιο κρυπτογραφημένο ωφέλιμο φορτίοΣτη συνέχεια, το κακόβουλο λογισμικό κρύβεται ανάμεσα στις διεργασίες του συστήματος, περιμένοντας να συνδεθεί στον απομακρυσμένο διακομιστή του. Αυτοί οι μηχανισμοί θυμίζουν άλλες απειλές, όπως π.χ. droppers και mobile Trojans.
Τι μπορείτε να κάνετε μόλις μπείτε στο τηλέφωνο
Μόλις η συσκευή μολυνθεί, το ClayRat ζητά ευαίσθητα δικαιώματα (SMS, επαφές, κάμερα και μικρόφωνο) και προσπαθεί να... να είναι η προεπιλεγμένη εφαρμογή SMSΜε αυτό, μπορείτε αναχαίτιση, ανάγνωση και τροποποίηση μηνυμάτων πριν φτάσουν σε άλλες εφαρμογές, ένας κίνδυνος που αποτελεί μέρος του κίνδυνος κακόβουλου λογισμικού για κινητά.
Επιπλέον, το spyware είναι ικανό να αποβολή SMS, καταγραφή ειδοποιήσεων, έλεγχος αρχείου καταγραφής κλήσεων, τραβήξτε φωτογραφίες με την μπροστινή κάμερα και ακόμη και να ξεκινάτε κλήσεις ή να στέλνετε μηνύματα χωρίς την παρέμβαση του χρήστη.
- get_apps_list: αποστέλλει τη λίστα με τις εγκατεστημένες εφαρμογές.
- get_calls: Συλλογή αρχείων καταγραφής κλήσεων από τη συσκευή.
- get_camera: Τραβήξτε μια φωτογραφία με την μπροστινή κάμερα και ανεβάστε την στον διακομιστή.
- get_sms_list / messmsΚλέβει SMS ή στέλνει μαζικά μηνύματα για διάδοση.
- αποστολή_sms / πραγματοποίηση_κλήσης: Πραγματοποιήστε κλήσεις ή στείλτε μηνύματα από τον αριθμό του θύματος.
- get_device_info: Λαμβάνει δεδομένα από τη συσκευή και το δίκτυο.
- get_proxy_data: μετατρέπει την κίνηση HTTP/HTTPS σε Σήραγγες WebSocket για να καμουφλάρουν τις επικοινωνίες.
Για τις επικοινωνίες, το ClayRat χρησιμοποιεί Κρυπτογράφηση AES-GCM y κατακερματισμένη μετάδοση δεδομένων για να περιπλέξει την ανίχνευση. Η λειτουργία proxy επιτρέπει την απόκρυψη της κυκλοφορίας C2 πίσω από Σήραγγες που βασίζονται σε WebSocket.
Η καμπάνια βασίζεται επίσης αυτοματοποιημένη διάδοσηΚάθε παραβιασμένο τηλέφωνο αξιοποιείται ως κόμβος διανομής που προωθεί κακόβουλους συνδέσμους μέσω SMS σε ολόκληρη τη λίστα επαφών, πολλαπλασιάζοντας έτσι την εμβέλεια της επίθεσης.
Πεδίο εφαρμογής της καμπάνιας και ανταπόκριση του κλάδου
Τους τελευταίους μήνες, το Zimperium έχει εντοπίσει περισσότερα από 600 δείγματα και γύρω 50 διαφορετικά σταγονόμετρα, ένας τόμος που καταδεικνύει μια εξελισσόμενη λειτουργία. Ορισμένες αναφορές τοποθετούν αρχικά τη δραστηριότητα με τα υψηλότερα κρούσματα στη Ρωσία, με δυνατότητα επέκτασης και σε άλλες χώρες.
Οι ενδείξεις παραβίασης έχουν κοινοποιηθεί στην Google και Αναπαραγωγή Προστατέψτε ya μπλοκάρει γνωστές παραλλαγέςΑκόμα κι έτσι, οι ειδικοί τονίζουν ότι η εκστρατεία είναι ακόμα ενεργή και ότι η καλύτερη άμυνα είναι η αποφυγή εγκαταστάσεων από εξωτερικοί σύνδεσμοι ή κανάλια Telegram.
Πώς να ελαχιστοποιήσετε τους κινδύνους
Η κύρια σύσταση είναι απλή: Μην εγκαθιστάτε αρχεία APK από άγνωστες πηγέςΝα είστε επιφυλακτικοί με τις υποτιθέμενες εκδόσεις "Plus" ή "premium" δημοφιλών εφαρμογών και αποφύγετε να ακολουθείτε συνδέσμους λήψης σε μέσα κοινωνικής δικτύωσης ή μηνύματα.
- Διατηρήστε το σύστημα ενημερωμένο και ενεργό Προστασία Google Play για συνεχείς σαρώσεις.
- Ελέγχετε συχνά το άδειες από εφαρμογές (SMS, κάμερα, μικρόφωνο, επαφές) και να ακυρώσετε τις περιττές.
- Ελέγξτε ποια εφαρμογή είναι η προεπιλεγμένο SMS και επαναφέρετε το επίσημο εάν κάτι αλλάξει χωρίς τη συγκατάθεσή σας.
- Δώστε προσοχή στα προειδοποιητικά σημάδια: μη εξουσιοδοτημένα εξερχόμενα μηνύματα, αιχμές μπαταρίας ή δεδομένων και παράξενη συμπεριφορά.
- Χρησιμοποιήστε ένα διάλυμα από κινητή ασφάλεια αξιόπιστο για την ανίχνευση σταγονόμετρων και δραστηριοτήτων C2.
Εάν υποψιάζεστε μόλυνση, το πιο αποτελεσματικό πράγμα είναι αποσυνδέστε τη συσκευή, φτιάξτε ένα αντίγραφο όσων είναι απαραίτητα, επαναφορά εργοστασιακών ρυθμίσεων και επανεγκατάσταση μόνο εφαρμογών από Το Google PlayΑλλάξτε τους κωδικούς πρόσβασης και ενεργοποιήστε την επαλήθευση δύο βημάτων για κρίσιμες υπηρεσίες.
Το ClayRat έχει δείξει πώς το spyware μπορεί να πλαστοπροσωπία WhatsApp και TikTok Για να παραβιαστεί η εμπιστοσύνη των χρηστών, να παρακαμφθούν οι πρόσφατες άμυνες Android και να αξιοποιηθούν τα ίδια τα θύματα ως πλατφόρμα για την επίθεση, η εξαιρετική προσοχή με τις πηγές λήψης και τα δικαιώματα είναι, σήμερα, το πιο αποτελεσματικό εμπόδιο.
